Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il business di Deadbolt: pochi soldi alle vittime e molti ai produttori dei NAS per conoscere i bug 0day

Redazione RHC : 23 Ottobre 2022 08:42

La cybergang Deadbolt l’abbiamo incontrata recentemente, quando venne truffata dalla polizia olandese che è riuscita ad acquisire 155 chiavi di decrittazione senza sborsare un soldo.

Ma a parte questo hack di successo delle forze dell’ordine, il loro “business model” è particolare e funzionante e con questo articolo lo andremo a capire meglio. Infatti si basa sulla richiesta di piccoli riscatti verso le loro vittime, ma grandi somme di denaro da sborsare da parte dei vendor dei prodotti violati attraverso i loro 0day.

Si potrebbe dire che questa sia l’ultima frontiera del bug bounty, ma scopriamo meglio di cosa si tratta.


Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


La società di sicurezza informatica Group-IB ha analizzato un campione del ransomware DeadBolt ottenuto durante una delle attività nella Federazione Russa. Gli esperti notano che molto spesso le piccole e medie imprese diventano vittime di ransomware, tuttavia, gli esperti del Gruppo IB sono a conoscenza di diversi casi di attacchi alle principali università russe.

Il ransomware DeadBolt è attivo dall’inizio del 2022 e attacca NAS di vari produttori. Il ransomware è principalmente specializzato per i dispositivi Qnap, ma sono stati rilevati anche attacchi ai NAS ASUSTOR.

Finora più di 20.000 dispositivi in ​​tutto il mondo sono stati attaccati dagli aggressori, secondo la polizia olandese.

Secondo gli operatori DeadBolt sta sfruttando in questa campagna una vulnerabilità 0day nel software NAS che hanno rilevato. Ogni vulnerabilità 0day che viene identificata viene solitamente associata ad una nuova serie di attacchi.

Gli esperti di Group-IB affermano che il raggruppamento DeadBolt è interessante perché crittografa solo i sistemi di archiviazione dati (NAS, Network Attached Storage), chiedendo un riscatto sia agli utenti che ai produttori di apparecchiature per informazioni tecniche sulla vulnerabilità utilizzata nell’attacco.

L’importo del riscatto è 0,03-0,05 BTC (meno di 1.000 dollari) per gli utenti, mentre si parla di 10-50 BTC (tra 200.000 e 1.000.000 di dollari) per i produttori di NAS, per riuscire a conoscere il bug 0day utilizzato. 

In questo caso, le vittime ricevono automaticamente le chiavi per la decifrazione nei dettagli delle transazioni, dopo aver pagato il riscatto: gli estorsionisti non entrano in contatto con le vittime. 

Forse a questo proposito DeadBolt non richiede riscatti astronomici dalle vittime: la vittima o paga all’indirizzo specificato e riceve una chiave dai dettagli della transazione, oppure no. 

I ricercatori scrivono che quando hanno analizzato DeadBolt, non hanno trovato nulla di molto complesso, come gli schemi crittografici che utilizzano algoritmi di crittografia asimmetrica. 

Al contrario, i metodi degli hacker sono semplici ed efficaci. Con un po’ di ironia, gli esperti notano l’interfaccia web del loro sito molto “amichevole”.

Dal momento che DeadBolt sta cercando di chiedere un riscatto dai produttori di NAS ed è in circolazione da molto tempo, gli esperti concludono che, a quanto pare, questo “modello di business” funziona e si giustifica da solo.

Alla fine del loro rapporto, gli analisti hanno fornito i seguenti consigli per la configurazione di un NAS che aiuterà a proteggere dagli attacchi DeadBolt e altri malware:

  • aggiornare il software/firmware del NAS;
  • impostare l’autenticazione a due fattori (2FA) sull’account amministratore sul NAS;
  • abilitare il log di connessione (System Connection Logs) sul dispositivo NAS;
  • configurare l’invio di eventi di registro (registro di sistema e registro di connessione) a un server Syslog remoto;
  • impostare le password secondo una complessa politica delle password;
  • disabilitare l’account amministratore e creare un account separato con diritti di amministratore;
  • disattivare i servizi non utilizzati sul dispositivo NAS (ad esempio: server FTP, Telnet e così via);
  • riassegnare le porte dei principali servizi (SSH, FTP, HTTP/HTTPS e altri) dai valori di default ad altri;
  • disabilitare il port forwarding automatico in myQNAPcloud (QNAP).

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Truffe e Schiavitù Digitali: La Cambogia è la Capitale Mondiale della Frode Online

Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...

Dopo aver criptato mezzo mondo, Hunters International chiude! Distribuito gratuitamente il Decryptor

Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...